I ricercatori di Cybersecurity di Malwarebytes hanno dichiarato di aver scoperto un’e-mail dannosa che ha preso di mira un funzionario governativo del ministero degli Esteri della Giordania e che sembra provenire da un prolifico gruppo di minacce presumibilmente basato in Iran.
Il team di intelligence sulle minacce dell’azienda ha dichiarato martedì di aver identificato il messaggio sospetto il 26 aprile. Conteneva un documento Excel dannoso che forniva Saitama, un nuovo strumento di hacking utilizzato per fornire una backdoor nei sistemi.
Il Ministero degli Esteri della Giordania non ha risposto alle richieste di commento.
Malwarebytes ha attribuito l’e-mail a un gruppo di minacce comunemente noto come APT34, che gli esperti ritengono abbia sede in Iran e che ha preso di mira altri Paesi del Medio Oriente almeno dal 2014. Le società informatiche hanno dato al gruppo diversi nomi, tra cui OilRig, Cobalt Gypsy, IRN2 e Helix Kitten, e ha preso di mira soprattutto organizzazioni governative e aziende dei settori finanziario, energetico, chimico e delle telecomunicazioni.
“L’e-mail dannosa è stata inviata alla vittima tramite un account Microsoft Outlook con l’oggetto ‘Conferma ricezione documento’ e un file Excel chiamato ‘Conferma ricezione documento.xls’. Il mittente finge di essere una persona del governo della Giordania utilizzando il suo stemma come firma“, spiega il rapporto.
Le vittime sono indotte ad attivare una macro mentre il codice dannoso viene eseguito silenziosamente.
Il documento Excel mostra un foglio di richiamo contenente lo stemma del governo della Giordania. pic.twitter.com/5dV8DtVLPb
- Malwarebytes Threat Intelligence (@MBThreatIntel) 10 maggio 2022
I ricercatori hanno attribuito la campagna ad APT34 perché i documenti dannosi utilizzati nell’attacco assomigliavano a precedenti campagne identificate lo scorso anno da altre società di cybersicurezza, tra cui Check Point.
“Più specificamente, simile a quanto menzionato nel rapporto di Check Point, questo maldoc registra un’attività pianificata che lancerebbe l’eseguibile ogni X minuti, inoltre utilizza la stessa tecnica anti sandboxing (controllando se c’è un mouse collegato al PC o meno)“, ha spiegato Malwarebytes.
I ricercatori hanno anche detto di aver visto “uno schema simile per fare da beacon al server dell’aggressore e informare l’aggressore sullo stadio attuale dell’esecuzione“.
Malwarebytes ha anche identificato diversi indicatori e somiglianze che sono stati collegati a campagne passate che hanno preso di mira Jordan e altri. La società di sicurezza informatica Mandiant ha precedentemente collegato l’APT34 a una campagna che ha preso di mira le banche del Medio Oriente.
La backdoor Saitama abusa del protocollo Domain Name System (DNS), che aiuta gli utenti di Internet e i dispositivi di rete a individuare i siti web utilizzando nomi di host leggibili dall’uomo anziché indirizzi IP numerici.
Malwarebytes ha affermato che Saitama è più furtiva di altre backdoor perché abusa del protocollo DNS per le comunicazioni di comando e controllo rispetto ad altri metodi di comunicazione.
Secondo Malwarebytes, inoltre, il malware “era chiaramente mirato e indica anche che l’attore ha una conoscenza pregressa dell’infrastruttura interna della vittima“.
